Apple ha rilasciato una raffica di aggiornamenti per molti suoi dispositivi, dai computer ai tablet agli smartphone agli orologi, e li ha annunciati puntando sulle nuove funzioni, ma in realtà includono anche molte correzioni di sicurezza e quindi vanno installati appena possibile.

Per esempio, macOS 12.1 aggiunge SharePlay, per condividere musica o video oppure il contenuto di un’app durante le videochiamate, ma con alcune limitazioni. Sono migliorati anche i controlli parentali, che permettono di attivare avvisi se i figli minori ricevono o inviano foto intime tramite l‘app Messaggi. Le correzioni di sicurezza sono elencate qui.

iOS e iPadOS 15.2 contengono una nuova impostazione che permette di vedere meglio quali app hanno avuto accesso alle informazioni personali, ma sono aggiornamenti importanti soprattutto per le correzioni di sicurezza, che sono davvero tante. Alcune delle falle corrette da questi aggiornamenti consentivano di prendere il controllo del dispositivo usando semplicemente un’immagine o un file audio appositamente alterato.

Anche gli Apple Watch e le Apple Tv hanno i loro bravi aggiornamenti, rispettivamente alle versioni 8.3 e 15.2, ma non sono particolarmente significativi, a parte la correzione di una falla che permetteva di prendere il controllo degli Apple Watch tramite un’immagine appositamente confezionata.

C’è invece una novità interessante che riguarda Android: la cosa può sembrare strana, visto che Apple normalmente non produce software per Android, ma stavolta è così. L’azienda ha infatti rilasciato una nuova app Android, chiamata Tracker Detect, che permette anche agli smartphone di questo tipo, oltre che agli iPhone, di rilevare i dispositivi di tracciamento e localizzazione AirTag di Apple. Gli iPhone possono farlo andando nell’app Dov’è, scegliendo Oggetti e poi Identifica l’oggetto trovato.

Questi dispositivi, grandi come una moneta, sono pensati per rintracciare oggetti smarriti o rubati, come chiavi o valigie, ma sono utilizzabili anche in modo illecito per pedinare le persone a distanza e quindi è importante che anche gli utenti Android possano usare il proprio smartphone come rilevatore di eventuali AirTag nascosti da qualcuno nelle loro cose.

Se avete un dispositivo Apple di qualunque genere (iPhone, iPad, Mac e Apple Watch), aggiornatelo subito. Apple ha rilasciato il 13 settembre degli aggiornamenti d’emergenza per bloccare due vulnerabilità, una delle quali consente di mettere a segno un attacco invisibile sui suoi dispositivi senza richiedere alcuna azione da parte della vittima.

L’attacco consente di attivare telecamere e microfono, registrare messaggi, SMS, mail e chiamate vocali (comprese quelle cifrate con app come Signal). 

La versione 14.8 di iOS/iPadOS, la versione 11.6 di macOS, la versione 14.7 di tvOS e la versione 7.6.2 di watchOS risolvono il problema. 

Apple ha informazioni sulle falle e sugli aggiornamenti correttivi presso questi URL:

• https://support.apple.com/it-it/HT201222 (come scaricare gli aggiornamenti in generale)
  
• https://support.apple.com/it-it/HT212807 (iOS e iPadOS)
  
• https://support.apple.com/en-us/HT212804 (macOS Big Sur)
• https://support.apple.com/HT212805 (macOS Catalina)
• https://support.apple.com/HT212808 (Safari 14.1.2 per macOS Catalina e Mojave)
  
• https://support.apple.com/en-us/HT212806 (watchOS)
  

La prima vulnerabilità, denominata CVE-2021-30860 e battezzata FORCEDENTRY, è stata scoperta da Citizen Lab, un noto gruppo canadese di attivisti per la privacy e la sicurezza digitale, riguarda iMessage e viene sfruttata per esempio per iniettare un malware, denominato Pegasus, che è stato sviluppato dalla società israeliana NSO Group ed è già stato usato per penetrare negli iPhone di vari attivisti politici in modo completamente invisibile.

L’attacco, spiega Citizen Lab, viene lanciato semplicemente mandando un SMS alla vittima. L’SMS contiene un allegato che ha l’estensione GIF ma è in realtà un PDF malformato. Questo PDF malformato causa un crash di IMTranscoderAgent sul dispositivo (dovuto a un integer overflow nella libreria CoreGraphics di rendering delle immagini), e il crash consente l’esecuzione di codice malevolo sul dispositivo attaccato. 

La seconda vulnerabilità, denominata CVE-2021-30858, riguarda WebKit, il motore di rendering di Apple, usato da Safari e da quasi tutte le app che visualizzano contenuto HTML, ed è sfruttabile per eseguire codice sul dispositivo della vittima.

Anche se non siete dissidenti o attivisti, il fatto che esistano queste vulnerabilità è ora di dominio pubblico e quindi è presumibile che verranno sfruttate anche dalla criminalità informatica comune per attacchi su bersagli meno sensibili. In altre parole, per colpire anche utenti comuni.

Preparatevi a una certa attesa, perché tutti stanno scaricando gli aggiornamenti ed è prevedibile che i server di Apple siano leggermente sovraccarichi.

 

Fonti aggiuntive: TechCrunch, Sophos, Ars Technica, New York Times. 

Per mandare in crisi un iPhone o un iPad è sufficiente collegarlo a una rete Wi-Fi con un nome particolare. Lo ha segnalato Carl Schou su Twitter pochi giorni fa.

After joining my personal WiFi with the SSID “%p%s%s%s%s%n”, my iPhone permanently disabled it’s WiFi functionality. Neither rebooting nor changing SSID fixes it :~) pic.twitter.com/2eue90JFu3

— Carl Schou (@vm_call) June 18, 2021

Se il nome (SSID) della rete Wi-Fi al quale si collega è %p%s%s%s%s%n, il dispositivo Apple perde completamente la capacità di collegarsi a qualunque rete Wi-Fi, e riavviarlo non risolve il problema. Il difetto è presente in tutte le versioni recenti di iOS/iPadOS, compresa la 14.6.

L’unico modo per riattivare il Wi-Fi sull’iPad o iPhone è andare in Impostazioni - Generali - Ripristina - Ripristina impostazioni rete. Bisognerà poi reimmettere tutti i parametri della propria connessione Wi-Fi.

Perché mai qualcuno dovrebbe usare un nome così bizzarro per una rete Wi-Fi? Per esempio per fare burle pesanti o vandalismi. Un malintenzionato potrebbe dare questo nome alla propria rete Wi-Fi in modo da paralizzare gli iPhone o iPad altrui che tentano di collegarsi a scrocco. Questa falla non colpisce i dispositivi Android o Windows, per cui qualcuno che ce l’ha con Apple potrebbe sfruttarla per danneggiare soltanto i dispositivi di questa marca. 

Sì, gente così esiste. Già circolano gli scherzi, tipo questo, che consiglia crudelmente agli utenti iPhone di usare quel nome per il proprio Wi-Fi per rendere più veloce la connessione:

Tip for iPhone users: if you want faster WiFi, name your SSID %p%s%s%s%s%n

— Edwin 🐰 (@MrAtari_1040ST) June 21, 2021

Apple non ha rilasciato dichiarazioni in proposito e non si sa se il difetto verrà corretto. 

Il motivo per cui questo nome di Wi-Fi ha quest’effetto è che questi caratteri con il simbolo di percentuale vengono usati come istruzioni di formattazione in alcuni linguaggi di programmazione, ed iOS e iPadOS accettano questi caratteri come nome di Wi-Fi senza controllarli, scartarli o convertirli: è una uncontrolled format string, una vulnerabilità classica che non dovrebbe esserci in un sistema operativo moderno.

Il consiglio, ovviamente, è non collegarsi mai ai Wi-Fi di sconosciuti, specialmente se hanno nomi che contengono caratteri bizzarri. E di non credere ciecamente a tutti i “consigli per velocizzare” che si trovano su Internet.

Fonti aggiuntive: Ars Technica, Engadget, BleepingComputer, AppleInsider.

Credit: HWupgrade.it.

È disponibile da pochi giorni iOS 14.4, accompagnato dalla versione per iPad, ossia iPadOS 14.4. 

Va installato subito, se il vostro iCoso lo consente, perché oltre alle consuete novità e migliorie (descritte qui da Apple e qui da HWupgrade.it), contiene aggiornamenti di sicurezza molto importanti (descritti da Apple qui) che risolvono varie falle (CVE-2021-1782, CVE-2021-1871 e CVE-2021-1870).

Una di queste falle, la 1870, è sfruttabile semplicemente convincendo la vittima a visitare un sito Web dal proprio iPhone o iPad non aggiornato usando Safari e permetterebbe di prendere il controllo parziale o totale del dispositivo.

Il rischio non è teorico, come avviene solitamente con questi aggiornamenti: in questo caso la falla viene già sfruttata dai malintenzionati, secondo gli avvisi degli esperti.

Come consueto, l’aggiornamento si esegue andando in Impostazioni - Generali - Aggiornamento Software. Fatelo.

Se usate Instagram, aggiornate la vostra app, altrimenti può bastare una semplice immagine per rubarvi l’account.

Lo segnalano i ricercatori di sicurezza informatica di Check Point Research, che hanno scoperto una falla in un componente open source usato da Instagram (Mozjpeg) per visualizzare le immagini JPEG. La falla consentiva a un aggressore di prendere il controllo dell’account di una vittima semplicemente mandandole un’immagine appositamente confezionata, usando mail, WhatsApp o altri sistemi di messaggistica. 

Quando la vittima avviava Instagram sul proprio smartphone, l’immagine veniva caricata automaticamente, causando un integer overflow che portava a un heap buffer overflow che a sua volta consentiva di eseguire istruzioni sullo smartphone: leggere i messaggi privati, cancellare o pubblicare post, e persino trasformare lo smartphone in uno strumento di sorveglianza accedendo ai dati GPS e alla fotocamera.

Check Point ha aspettato sei mesi prima di pubblicare la propria scoperta: nel frattempo ha informato Facebook, proprietaria di Instagram, che ha corretto la falla. Facebook dichiara che il problema riguarda le versioni di Instagram vecchie: dalla 128.0.0.26.128 in poi non c’è più.

Per sapere quale versione di Instagram avete installato:

• Su Android, andate in Impostazioni - Applicazioni, toccate Instagram e scorrete verso il basso: vedrete l’indicazione della versione.
• Su iOS/iPadOS, andate in Impostazioni - Generali - Spazio, toccate Instagram e comparirà l’indicazione della versione.

 

Fonti aggiuntive: Forbes, Apple Insider, Android Central.

Apple distribuirà a partire da luglio in versione beta (subito se usate questo metodo) le nuove edizioni dei suoi principali sistemi operativi, presentati pochi giorni fa alla WWDC (quest’anno preregistrata e senza pubblico per via della pandemia). Le versioni definitive saranno disponibili in autunno.

Come ogni volta, si pone il problema di capire quali dispositivi Apple potranno adottarli, con tutte le loro novità, e quali resteranno esclusi e quindi diventeranno obsoleti. Ecco un riassuntino per orientarvi nei vostri eventuali acquisti.

IPhone: se avete potuto aggiornare il vostro iPhone ad iOS 13, potrete aggiornarlo anche ad iOS 14. Sono inclusi anche l’iPhone 6S e l’iPhone SE di prima generazione.

iPad: come sopra. Se ci gira iOS 13, ci girerà iOS 14.

Mac: le cose si fanno complicate. Saranno compatibili con Big Sur i MacBook dal 2015 in poi, i MacBook Air dal 2013 in poi, i MacBook Pro da fine 2013 in poi, i Mac mini dal 2014 in poi, gli iMac dal 2014 in poi, gli iMac Pro dal 2017 in poi e i Mac Pro dal 2013 in poi. Facile, no? Un elenco completo è su LifeHacker.


Fonte aggiuntiva: Wired.com.

Cose da fare quando sei chiuso in casa: guadagnare 75.000 dollari, e farlo legalmente. È quello che è riuscito a fare un ricercatore di sicurezza, Ryan Pickren, che ha scoperto una serie di falle tecniche che consentivano di prendere il controllo da remoto della telecamera degli iPhone, degli iPad e dei laptop Apple.

In Safari, il browser di Apple, c’erano infatti ben sette vulnerabilità (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020-9787). Concatenandone tre in modo astuto e corretto, permettevano a un sito ostile di accedere alla telecamera e al microfono della vittima, due delle risorse che Apple protegge maggiormente per ovvie ragioni.

Tutto quello che doveva fare la vittima era aver autorizzato in precedenza l’uso della telecamera e del microfono da parte di una qualsiasi app di Apple, cosa che fanno praticamente tutti, e visitare il sito ostile con Safari (cosa facilissima da ottenere con un classico messaggio “clicca qui per vincere un premio” o simile).

Pickren ha segnalato il problema con la massima discrezione ad Apple, che ha un bug bounty, ossia un programma di ricompense per chi segnala in maniera responsabile i difetti dei suoi prodotti, e l’azienda lo ha ringraziato dandogli appunto 75.000 dollari.

Niente panico: le falle più gravi sono state risolte dalle versione 13.0.5 in poi di Safari, uscita a fine gennaio, e le altre sono state messe a posto con Safari 13.1 a fine marzo. Se non avete ancora aggiornato Safari, fatelo.

Se vi interessano i dettagli tecnici delle scoperte di Pickren, li trovate qui in versione estesa e qui in sintesi.

Mezzo pianeta è fermo, ma gli aggiornamenti software vanno avanti lo stesso. Apple ha rilasciato aggiornamenti per tutti i suoi sistemi operativi per tablet, orologi, media player, telefoni e computer.

Si passa così alla versione 13.4 per iOS, iPadOS e tvOS, mentre gli Apple Watch si aggiornano alla versione 6.2 e i Mac arrivano alla versione 10.15.4 di macOS.

Tutti questi aggiornamenti introducono migliorie e correzioni, ma forse quelle più significativo per molti utenti riguardano iPadOS e iOS, che ora offrono il supporto completo per trackpad e puntatori (sia Bluetooth, sia cablato, con qualche difficoltà). I tablet Android offrivano questa possibilità da molto tempo e finalmente Apple l’ha aggiunta anche ai propri dispositivi.

Per usare un mouse Bluetooth su un iPad è sufficiente andare nelle Impostazioni, attivare il Bluetooth e abbinare il mouse. Gizmodo ha una guida dettagliata a tutti i comandi resi possibili dall’uso di mouse o trackpad.

iOS e iPadOS correggono inoltre ben 30 falle importanti, e anche macOS ne tura quasi altrettante.

Come sempre, prima di fare un aggiornamento del software, ricordatevi di creare una copia di sicurezza dei vostri dati, per non perderli qualora l’aggiornamento fallisse.


Fonti aggiuntive: Ars Technica, Sophos.

Se avete un iPhone 5 o 4s o un iPad non recente con connessione cellulare, affrettatevi a scaricare e installare l’aggiornamento software fornito da Apple entro il 2 novembre. Se non lo fate, il vostro dispositivo perderà gran parte delle sue funzioni.

Lo segnala Apple qui e qui: in sintesi, è necessario installare questo aggiornamento per usare qualunque funzione che faccia uso della data e dell’ora esatta, ossia quasi tutte, come per esempio l’App Store, iCloud, la mail e la consultazione di siti web.

Apple spiega che l’aggiornamento serve per consentire ai dispositivi di continuare a gestire correttamente i dati GPS di geolocalizzazione. I satelliti GPS, infatti, trasmettono le informazioni riguardanti le date usando un contatore di settimane che ha 1024 valori. Ogni 1024 settimane, ossia circa 20 anni, il contatore riparte da zero. I vecchi dispositivi Apple citati non gestiscono correttamente questa ripartenza se non vengono aggiornati.

Dal 3 novembre, quindi, perderanno l’accesso a Internet e all’App Store e quindi non potranno più scaricare aggiornamenti. Da qui nasce l’ultimatum di Apple.

I principali dispositivi colpiti, e quindi da aggiornare, sono i seguenti:

• iPhone 5
• iPhone 4s
• iPad di quarta generazione Wi-Fi + cellulare
• iPad di terza generazione Wi-Fi + cellulare
• iPad mini di prima generazione WiFi + cellulare

Non sono colpiti gli iPod touch o gli iPad con solo Wi-Fi.

Dopo l’aggiornamento, potrete controllare che sia andato a buon fine andando in Impostazioni - Generali - Info e guardando il numero della versione di software, che deve essere 10.3.4 o 9.3.6.

Se non aggiornate in tempo, c’è ancora un modo per rimediare, che è descritto nelle pagine di Apple linkate sopra, ma è complicato, per cui ve lo sconsiglio. Fate gli aggiornamenti subito.


Fonti aggiuntive: Naked Security, Hot for Security.

Se avete un iPhone o un iPod touch recenti, probabilmente avete notato nelle Impostazioni (sotto Generali) che è disponibile un aggiornamento di iOS che lo porta alla versione 13. Le novità di questa versione sono parecchie, ma la più vistosa è che è solo per iPhone e iPod touch: gli iPad sono esclusi.

Apple ha infatti creato una versione separata e differente di iOS per i suoi tablet, che si chiama iPadOS e che arriverà il 24 settembre, con cambiamenti e funzioni che rendono gli iPad molto più simili a computer veri e propri.

Quindi se avete un iPad recente, vi tocca aspettare ancora qualche giorno e poi arriverà l’aggiornamento. Ma non sarete i soli: infatti anche chi ha un iPhone o iPod touch dovrà scaricare un altro aggiornamento di iOS, che lo porterà alla versione 13.1 e che verrà messo a disposizione sempre il 24 settembre.

Come sempre, prima di effettuare un aggiornamento importante fate una copia di sicurezza dei vostri dati (su iCloud oppure su un PC o Mac usando iTunes) e magari cogliete l’occasione per eliminare le app che non usate più. Assicuratevi di essere collegati a un Wi-Fi e di avere a portata di mano il vostro codice di sblocco di iOS, il PIN della SIM e la vostra password di iCloud.

Questo aggiornamento di iOS/iPadOS, fra l’altro, secondo TechCrunch aiuta a rivelare quali siti fanno tracciamento degli utenti: Facebook, per esempio, viene colto a chiedere di usare il Bluetooth, cosa che gli permetterebbe di sapere, per esempio, non solo dove si trova in quel momento l’utente (in base a quali dispositivi Bluetooth vengono visti dallo smartphone) ma anche chi è o è stato nelle vicinanze di quell’utente.


Fonti: Ars Technica, Cnet.

Uh, this looks fake but, alas, it’s our iPad today after 3-year-old tried (repeatedly) to unlock. Ideas? pic.twitter.com/5i7ZBxx9rW

— Evan Osnos (@eosnos) 6 aprile 2019

Può sembrare uno scherzo o un fotomontaggio, ma il tweet qui sopra mostra davvero un iPad bloccato da troppi tentativi sbagliati di immettere la password, con la dicitura “ritenta fra 25.536.442 minuti”. Ossia fra circa 48 anni, nel 2067.

È l‘iPad del giornalista Evan Osnos, dopo essere finito fra le mani di suo figlio di tre anni, che ha immesso la password sbagliata dieci volte di fila.

Dopo i primi cinque tentativi sbagliati, un dispositivo iOS obbliga ad attendere cinque minuti prima di poter tentare ancora; se anche il sesto tentativo fallisce, il dispositivo viene bloccato per un quarto d’ora. A ogni ulteriore tentativo sbagliato aumenta il tempo di attesa, fino ad arrivare, come in questo caso, al decimo fallimento, con conseguente blocco del dispositivo.

Non è la prima volta che capita a qualcuno, ma non tutto è perduto: il giornalista non dovrà aspettare 48 anni per riutilizzare il proprio iPad. Esiste infatti una procedura di sblocco e recupero (il cosiddetto DFU mode), a condizione che l’utente abbia effettuato un backup dei propri dati. Può essere utile anche per chi ha impostato il proprio iPad in modo che i dati vengano cancellati automaticamente dopo dieci tentativi falliti (sempre a patto di aver fatto il backup).

Come nota Naked Security, l’aspetto più interessante è la determinazione del bambino, visto che ci vogliono circa tre ore per arrivare al decimo tentativo. Ma visto il disagio che ne può derivare, è prudente tenere questi oggetti digitali lontani dalle mani dei bambini.

Ultimo aggiornamento: 2019/02/08 21:30.

Per settimane, qualunque dispositivo Apple recente, dagli iPhone agli iPad ai computer Mac, poteva essere trasformato in una perfetta “cimice” per ascoltare di nascosto le conversazioni altrui e anche spiare tramite la telecamerina incorporata. Era sufficiente usare in maniera particolare (ma non troppo complicata) FaceTime, l’app di videochat di Apple, chiamando la persona da spiare. Anche se la persona non rispondeva alla chiamata, il suo dispositivo apriva il microfono e attivava la telecamera.

Una falla imbarazzante, risolta provvisoriamente da Apple in maniera drastica, ossia bloccando il servizio FaceTime in attesa di realizzare e distribuire un aggiornamento correttivo.

La schermata di stato dei sistemi e servizi Apple, consultabile qui.

L’imbarazzo è stato acuito dal fatto che Apple sta puntando molto, in termini di immagine aziendale, sulla sua attenzione alla sicurezza e alla privacy, e dal dettaglio non trascurabile che il difetto non è stato scoperto dai suoi esperti di controllo qualità ma da un ragazzo quattordicenne, Grant Thompson, a metà gennaio scorso.

Grant stava giocando a Fortnite e stava attivando una chat di gruppo con FaceTime quando si è accorto che poteva sentire anche le voci degli amici che non avevano ancora risposto all’invito a partecipare alla chat.

Come se non bastasse, Apple non ha risposto alle ripetute segnalazioni del problema fatte dalla madre del ragazzo ed ha reagito solo alcuni giorni dopo che la falla è stata rivelata pubblicamente.

L’azienda si è scusata e ha promesso di distribuire un aggiornamento di sicurezza entro questa settimana. Se avete un iPhone o un iPad, quindi, ogni tanto andate nelle Impostazioni e cercate la voce Generali e poi Aggiornamento software per vedere se l’aggiornamento è disponibile. Se avete un Mac, usate l’app dell’App Store e cliccate sulla sezione Aggiornamenti oppure andate nelle Preferenze di Sistema.

Imbarazzi a parte, però, la falla aveva una limitazione importante: lasciava sul dispositivo della vittima una chiara indicazione dell’identità dello spione o ficcanaso. Era quindi poco sfruttabile da intrusi professionisti o governativi, che preferiscono non lasciare tracce, ma era una pacchia per stalker ossessivi e partner gelosi che non avevano problemi a far sapere di stare origliando le proprie vittime. Vittime che spesso non sapevano come impedire questa persecuzione.

Incidenti come questo sono un promemoria molto chiaro del fatto che circoliamo tenendo in tasca, in ufficio e sul comodino un microfono che può essere attivato a distanza ed è gestito da un software molto complesso che a volte non funziona esattamente come vorrebbero i suoi creatori e utenti.

Le raccomandazioni apparentemente paranoiche degli esperti di sicurezza e privacy, che invitano a spegnere i telefonini o lasciarli fuori dalla stanza per qualunque conversazione o attività privata, sono insomma giustificate. Lo sa bene Larry Williams, un avvocato di Houston, che ha fatto causa ad Apple sostenendo che la falla di FaceTime ha consentito a qualcuno di origliare durante una delicatissima deposizione giurata di un suo cliente. Pensateci la prossima volta che andate dal medico o dal vostro avvocato o vi trovate in altre situazioni nelle quali fate confessioni molto personali.

2019/02/08 21:30

Apple ha rilasciato MacOS 10.14.3 e iOS 12.1.4, che risolvono questa falla.


Fonti aggiuntive: Graham Cluley, New York Times, The Inquirer, New York Times, CNet.

Nella scorsa puntata del Disinformatico radiofonico ho dato le istruzioni sbagliate per impostare l’iPhone o iPad in modo che visualizzi tutto in bianco e nero, rendendo il suo schermo meno appetibile per esempio per i bambini attratti dal telefonino/tablet dei genitori o anche per gli utenti adulti che vogliono disintossicarsi dalla distrazione continua delle notifiche di mail e social network.

Le istruzioni corrette, per iOS 11, sono queste: andate in Impostazioni - Generali - Accessibilità - Regolazione schermo - Filtri colore, attivate l’opzione Filtri colore e poi selezionate Scala di grigi. Per ripristinare i colori basta procedere in senso inverso.

Come segnalato nei commenti dopo la pubblicazione iniziale di questo articolo, l’equivalente per i dispositivi Android è andare in Impostazioni - Sistema - Informazioni sul telefono e premere cinque volte volte su Numero build per attivare la modalita' sviluppatore. Fatto questo, si va in Impostazioni - Sistema - Opzioni sviluppatore - Simula spazio colore (è parecchio in fondo) - Monocromia.  

Panico generale per gli utenti di iPhone, iPad, Apple Watch, Mac e Apple TV: temono di ricevere in un messaggio il temutissimo carattere della lingua telugu (mostrato qui accanto) che manda in tilt tutti questi dispositivi se viene visualizzato.

Apple ha distribuito oggi un aggiornamento di iOS (11.2.6), macOS (10.13.3), watchOS (4.2.3) e tvOS (11.2.6) che risolve il problema, ma chi ha un dispositivo Apple non aggiornabile rischia di restare indifeso a lungo. E nel frattempo imperversano da giorni i guastafeste che pensano che sia divertente pubblicare nei social network questo carattere in modo da far crashare in massa i dispositivi Apple e mettere nei guai i loro utenti.

Non è la prima volta che i dispositivi Apple o di altre marche vengono messi in crisi da una cosa apparentemente così banale come un semplice carattere tipografico, ma stavolta gli effetti sono molto seri: c’è chi lamenta di non riuscire più a riavviare il telefonino o il tablet, trasformatosi in un costoso fermacarte.

Se potete, installate gli aggiornamenti [nota personale: su un mio Mac Mini del 2014 l’installazione ha richiesto una trentina di minuti, per molti dei quali il Mac non ha dato il minimo segno di vita (schermo totalmente nero); su un MacBook Pro del 2015 ci sono voluti 12 minuti e non ci sono state inquietanti schermate nere]. Se non potete, vi conviene imparare a fare prima di tutto un po’ di prevenzione. Il passo più importante è disattivare le anteprime delle notifiche, perché la paralisi completa del dispositivo avviene quando questo famigerato carattere viene visualizzato in una notifica. Nei dispositivi Apple che usano iOS, andate quindi nelle Impostazioni, scegliete Notifiche e poi scegliete Mai nella sezione Mostra anteprime.

Fatto questo, se qualcuno vi manderà il carattere in questione e non avete (ancora) installato l’aggiornamento, perlomeno non andrà in tilt l’intero dispositivo ma si bloccherà soltanto la specifica app di messaggistica (che può essere Telegram, Snapchat, Twitter o altre ancora). Riavviarla è inutile, perché si bloccherà di nuovo. In questo caso potete provare ad accedere al vostro account di messaggistica usando un’altra versione della stessa app che sta su un computer Windows o Linux o su un dispositivo Android, e cancellare da lì la conversazione che contiene il carattere famigerato. Questi sistemi, infatti, sono immuni al problema che causa il collasso.

Nel caso dell’app Messaggi di iOS, invece, occorre andare nelle Impostazioni, scegliere Generali e poi Spazio libero: qui troverete un elenco di app che include appunto l’app Messaggi. Se la selezionate, potrete poi scegliere la conversazione da eliminare e tutto tornerà a funzionare.

Ma che succede se è troppo tardi e il vostro iPhone o iPad è completamente bloccato? Vi conviene andare da un tecnico e chiedere il suo intervento. Se siete smanettoni e coraggiosi, potete provare a mettere il dispositivo in modalità DFU e tentare un ripristino da zero di iOS. Alcuni coraggiosi hanno tentato di risolvere il problema installando la versione beta (cioè instabile) di iOS 11.3, che ha già eliminato il difetto del carattere telugu. Ma se lo fate senza fare prima un backup perderete tutti i vostri dati.

Come fa un singolo carattere a causare così tanti problemi? In realtà il simbolo è una combinazione di lettere e segni che contiene complesse istruzioni di posizionamento, per cui non è come un semplice carattere alfabetico latino: visualizzarlo richiede invece una serie di calcoli che i sistemi operativi di Apple sbagliavano, causando il tilt.


Questo articolo è derivato dal testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 20 febbraio 2018.

Ultimo aggiornamento: 2017/09/24 21:40.

La versione 11 di iOS è uno degli aggiornamenti recenti più significativi del sistema operativo dei dispositivi Apple (multitasking sui tablet e realtà aumentata sono molto interessanti) ed è ora disponibile al pubblico da un paio di giorni dopo il consueto periodo di test.

Ma non correte a installare iOS 11 prima di aver controllato alcune questioni fondamentali, per evitare delusioni, perdite di dati e altri problemi. Non c’è fretta, anche perché l’aggiornamento non chiude falle di sicurezza importanti. Se decidete di aggiornare, verificate di avere a portata di mano la vostra password di iCloud/Apple ID e fate prima di tutto una copia di tutti i dati.

La prima questione è fondamentale: assicuratevi che il vostro dispositivo sia compatibile. L'iPhone minimo aggiornabile è il 5S (il 5 non si aggiorna), l'iPad minimo è il mini 2 o Air, l’iPod minimo è il touch di sesta generazione. Tutti gli altri dispositivi resteranno per forza come sono. Non tentate di aggiornarli usando giri strani o accrocchi e non fidatevi di chi vi promette aggiornamenti di dubbia provenienza.

Il secondo aspetto importante è che iOS 11 ha un difetto che può impedire di accedere alle caselle di posta di Microsoft Office 365, Outlook.com ed Exchange. Apple ha confermato il problema, che è una bella magagna per chiunque usi la posta di Microsoft per lavoro, e ha detto che rilascerà presto una correzione. C'è una soluzione temporanea: usare l'app di Outlook per iOS fornita da Microsoft oppure non aggiornare iOS. Naturalmente chi sta correndo in questi giorni a comprare un iPhone nuovo lo trova con iOS 11 preinstallato e quindi non ha scelta.

Il terzo punto da ponderare è che alcune app smettono di funzionare: iOS 11, infatti, non supporta più le app a 32 bit ma solo quelle a 64 bit (come preannunciato da tempo) e quindi se un’app non è stata aggiornata per questo standard non verrà eseguita. Se volete sapere quali app non aggiornate state usando, andate in Impostazioni - Generali - Info - Applicazioni e ne otterrete un elenco.

Infine una parola di cautela: con iOS 11, il comando consueto per spegnere Wi-Fi e Bluetooth in realtà non spegne affatto queste funzioni. Finora, se andavate nel Centro di Controllo (facendo scorrere un dito dal fondo dello schermo verso l’alto) e toccavate le icone di Bluetooth o Wi-Fi, questi due componenti interrompevano le trasmissioni e venivano spenti. Ora non è più così: restano comunque attivi per i servizi che Apple ritiene indispensabili e comunque alle cinque del mattino (ora locale) tornano pienamente attivi. È un cambiamento intenzionale di Apple che molti troveranno piuttosto disorientante. Se volete spegnere davvero Bluetooth e Wi-Fi, per esempio per motivi di sicurezza, per non creare interferenze o per risparmiare batteria (nel caso del Wi-Fi), dovete andare nelle Impostazioni oppure ordinare a Siri di spegnerli. In alternativa, potete attivare la modalità aereo.

Intego ha pubblicato una miniguida alle impostazioni di privacy e sicurezza più importanti di iOS 11.


Fonti: The Register, Ars Technica, Il Post, Motherboard.

iOS, o non iOS 10, questo è il dilemma:
se sia più nobile nell'iPhone soffrire
i colpi di fionda e i dardi dell'oltraggiosa installazione
o prendere le armi contro un mare di bug
e, contrastandoli, aggiornare lo smartphone?

Solitamente consiglio di installare appena possibile le versioni aggiornate di software, perché contengono migliorie e correzioni di falle di sicurezza, ma stavolta devo fare un’eccezione per iOS 10. La nuova versione di iOS ha moltissime novità ma sta dando problemi a numerosi utenti, tanto che negli Stati Uniti l’operatore cellulare T-Mobile ha esplicitamente invitato i clienti a non installarla almeno per un paio di giorni. Alcuni utenti lamentano una durata minore della batteria, problemi di connessione dati e addirittura paralisi del telefonino o del tablet.

I problemi vengono risolti in parte installando iOS 10 passando tramite un computer con iTunes invece di scaricarlo direttamente con l’iPhone, iPad o iPod touch oppure scaricando la versione 10.0.1. Apple ha pubblicato delle istruzioni (anche in italiano) per chi si trovasse con il dispositivo bloccato.

iOS 10.0.1 è compatibile con gli iPhone dal 5 in su, con gli iPad mini dal 2 in su, con gli iPad dalla quarta generazione in poi, con tutti gli iPad Air e Pro, e con gli iPod touch di sesta generazione. Se decidete di aggiornare, preparatevi a restare senza iCoso per una ventina di minuti, fate prima una copia dei dati presenti sul dispositivo e assicuratevi di avere almeno un 1GB di memoria libera. Poi andate in Impostazioni - Generali - Aggiornamento software, scaricate e installate. Vi servirà la vostra password di iTunes. Buona fortuna.

Se tutto va bene, potrete cimentarvi anche voi con il passatempo scoperto con imbarazzo da alcuni utenti: nelle app di messaggistica c'è l’opzione che consente di inserire immagini GIF animate nei messaggi digitando una parola chiave. Tutto funziona abbastanza bene se la parola chiave è per esempio gattini, ma in alcuni casi se immettete parolacce Apple propone immagini decisamente inadatte a palati sensibili (probabilmente attinge imprudentemente a qualche collezione pubblica). Anche parole teoricamente innocue hanno risultati a rischio: alcuni utenti hanno segnalato che digitare huge (“enorme”) fa emergere immagini animate piuttosto discutibili che potrebbero dare complessi d’inferiorità a molti maschietti. Altre cose di questo genere spuntano digitando bounce (“ballonzolare”). In altri casi sono comparsi spogliarelli di MiniPony e altre cose di cui magari non avevate nemmeno immaginato l’esistenza nei vostri incubi peggiori.

Apple sta correggendo questa funzione man mano che vengono scoperte altre parole chiave inadatte, ma nel frattempo le risate (o le smorfie d’imbarazzo) sono garantite.


Nota: contrariamente a quanto sta girando in Rete ad opera di alcuni burloni, aggiornare il telefonino ad iOS 10 non fa scomparire la presa per le cuffie. L’allarme che sta circolando è una battuta. Ridete.


Fonti aggiuntive: Ars Technica, Gizmodo, Intego.

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/09/02 21:00.

Se avete un iPhone o un iPad, aggiornate subito il suo iOS in modo da portarlo alla versione 9.3.5. Apple ha infatti distribuito ieri un aggiornamento d’emergenza che risolve ben tre falle gravissime, che sono già sfruttate da anni da operatori senza scrupoli.

Le falle, denominate Trident dagli esperti, consentono di prendere il controllo completo di un dispositivo iOS semplicemente mandandogli un SMS che contiene un link. Se la vittima tocca il link per visitarlo, il dispositivo viene silenziosamente infettato, per cui l’aggressore può intercettare tutte le comunicazioni: messaggi WhatsApp, Viber, Gmail, Facebook, Skype, FaceTime, Calendar, WeChat e altro ancora. Anche telecamera e microfono possono essere accesi da remoto. Se un dispositivo è infettato, l’infezione persiste anche se lo si aggiorna.

La scoperta è stata fatta e annunciata da Citizen Lab e Lookout su segnalazione di Ahmed Mansoor, un difensore dei diritti umani riconosciuto a livello internazionale che risiede negli Emirati Arabi Uniti. Il 10 agosto scorso ha ricevuto degli SMS che gli promettevano segreti importanti sulla tortura dei detenuti nelle carceri degli Emirati se cliccava sui link inclusi nei messaggi. Mansoor ha fiutato la trappola e li ha mandati agli esperti di sicurezza, che hanno ricostruito il funzionamento e l’origine dell’attacco.

La fonte indicata dagli esperti non è la solita banda criminale: questo è un attacco di gran lunga troppo sofisticato. Gli indizi tecnici puntano a NSO Group, una società israeliana e statunitense che crea spyware per governi senza farsi alcuno scrupolo etico e si fa pagare anche un milione di dollari per ogni malware (o 650.000 dollari, più 500.000 dollari di attivazione, per dieci telefonini da sorvegliare, secondo il New York Times). Questo è il genere di mercenari con i quali rischia di dover lavorare chi pensa di usare malware di stato, e questo è il genere di cifre che occorre far pagare ai contribuenti. Il mandante dell’attacco contro Mansoor, presumibilmente, è il governo degli Emirati.

Probabilmente non avete governi nemici che vi stanno attaccando, ma ora che le falle negli iPhone e iPad sono state annunciate e documentate pubblicamente per consentire di risolverle, i criminali informatici di piccolo calibro si daranno da fare per creare attacchi basati su queste stesse falle. Di solito riescono a farlo nel giro di 24-48 ore, per cui non è il caso di rinviare l’aggiornamento.

L'aggiornamento si installa in pochi minuti nella maniera solita: Impostazioni - Generali - Aggiornamento software. Sono aggiornabili tutti i dispositivi Apple recenti: dall’iPhone 4S in su, dall’iPad 2 in su, tutti gli iPad Mini e Pro, e gli iPod touch di quinta e sesta generazione. Chi non può aggiornarsi perché ha un iPhone o iPad molto vecchio resta gravemente vulnerabile se usa il dispositivo collegandolo a Internet e/o alla rete cellulare.


Fonti aggiuntive: Ars Technica, Motherboard.

Se avete affidato ai figli un dispositivo iOS (iPhone, iPad o iPod) ma volete mettere dei limiti al suo uso, il software preinstallato offre parecchie opzioni. Per prima cosa occorre andare in Impostazioni - Generali - Restrizioni – Abilita restrizioni e impostare un PIN di quattro cifre che protegga le vostre scelte di restrizione.

Fatto questo, potete selezionare quali applicazioni limitare: per esempio, potete bloccare l’accesso a Safari, alla fotocamera, a Siri, al negozio di iTunes. Avete anche la possibilità di vietare l’installazione e disinstallazione di app e gli acquisti in-app. Potete impostare i tipi di contenuti, per esempio limitando la visione dei film, dei programmi TV e altro ancora in base all’età consigliata (la restrizione si applica soltanto ai contenuti legalmente acquistati che supportano questa funzione).

Nella sezione Siti Web potete bloccare l’accesso a tutti i siti, limitare i contenuti per adulti (non è un sistema perfetto, ma ci prova) oppure bloccare l’accesso a siti specifici. In Foto potete regolare l’accesso delle app alle foto memorizzate sul dispositivo e in Localizzazione potete decidere se consentire al minore di attivarla o disattivarla e quali app possono accedere a quest’informazione.

Infine, Partite multigiocatore consente di vietare (appunto) i giochi con più giocatori (per evitare incontri con bulli e molestatori) e Utilizzo dati cellulare permette di vietare l’uso della trasmissione dati per accedere a Internet.

C'è molto altro, descritto in questa pagina di aiuto di Apple in italiano, e il tutto è appunto protetto dal PIN, per cui assicuratevi di tenerlo ben segreto, cambiatelo periodicamente e segnatevelo: se lo dimenticate dovrete azzerare (inizializzare) il dispositivo, col rischio di perdere tutti i dati non salvati altrove.

Se però volete porre limiti di tempo o di orario, vi serve un’applicazione supplementare, come per esempio Curbi. L’app è in prova gratuita per due settimane ma l’uso mensile si paga (6,99 euro / 7 franchi) e bisogna destreggiarsi con l’inglese (non c’è una traduzione in italiano). Se superate questi ostacoli, però, avete la possibilità di impostare appunto orari e tempi di utilizzo, ricevere via mail un rapporto settimanale dettagliato di utilizzo del dispositivo e gestire il dispositivo direttamente dal vostro iPhone, iPad o computer, filtrare la navigazione, sapere quali app sono installate, consentire o meno l’accesso a Internet e altro ancora.

Curbi ha delle particolarità che è meglio conoscere: per esempio, per motivi tecnici sovrastima di una decina di minuti i tempi di utilizzo delle app e segnala app che non conoscete e non avete installato (si tratta del software che visualizza le pubblicità nelle app normali). Inoltre non blocca l'uso di app o giochi che non richiedono l’accesso a Internet, e può essere rimossa (però la si può combinare con le Restrizioni preinstallate per risolvere questi problemi).

Naturalmente tutto questo non vale se l’adorabile creatura ha craccato o fatto il jailbreak del dispositivo: ma in questo caso la soluzione non è tecnologica e ci vuole una sana chiacchierata a tu per tu. I rischi del crack o jailbreak saranno l’argomento della prossima puntata.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Pubblico un appunto veloce, visto che mi sono imbattuto in questo problema e non ho trovato fonti che dessero istruzioni precise e aggiornate e magari la stessa situazione capita a qualcun altro: se dovete configurare un iPad con una tastiera hardware (nel mio caso, un Air con tastiera Logitech Type+) e vi serve che l’iPad abbia l’interfaccia in italiano ma il layout di tastiera svizzero, si procede così:

Impostazioni - Generali - Tastiera - Tastiere (non hardware) - Aggiungi nuova tastiera - Francese (Svizzera). Toccare Modifica per eliminare le altre tastiere eventualmente già impostate.

Impostazioni - Generali - Tastiera - Tastiera hardware - Francese (Svizzera).

Non occorre riavviare. L’impostazione non è affatto intuitiva, con buona pace della presunta semplicità dei prodotti Apple, perché viene logico pensare che il layout di una tastiera hardware sia da impostare andando apppunto nella sezione Tastiera hardware. Solo che se ci si va senza aver prima scelto la tastiera software corrispondente a quella hardware desiderata, il layout desiderato (quello svizzero francese) non viene nemmeno elencato. Geniale.

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/02/19 8:15.

Durante la puntata precedente del Disinformatico radiofonico su ReteTre è arrivata in diretta la segnalazione di un ascoltatore, Benat, che diceva che stava circolando un messaggio che invitava i proprietari di iPhone a impostare la data dell’1/1/1970 e riavviarlo per ricevere un “uovo di Pasqua” ma era in realtà un inganno piuttosto pesante: chi seguiva quest’invito si trovava con lo smartphone completamente bloccato e impossibile da riavviare o ripristinare. L’unico rimedio era riportarlo a un negozio per l’assistenza tecnica. Durante la diretta non c’è stato tempo di verificare la segnalazione, per cui ho promesso di parlarne nella puntata successiva e di scriverne qui.

L’inganno è reale, quindi non impostate il vostro iPhone al primo gennaio 1970: se è un modello 5s o superiore, dopo un riavvio si bloccherà completamente. La stessa avvertenza vale per gli iPad Air e iPad Mini 2 e per gli iPod touch di sesta generazione. Apple raccomanda di non impostare date di maggio 1970 o precedenti e dice che un aggiornamento software imminente permetterà di prevenire il problema.

L’unico modo noto finora per sbloccare un dispositivo bloccato in questa maniera è lasciare che la sua batteria si scarichi completamente, oppure aprirlo (cosa non facile) e scollegare la batteria.

Lo scherzo è nato presso 4chan, famoso (o famigerato) luogo online di raduno di internauti che hanno una propensione per le provocazioni, le trasgressioni e gli scherzi di dubbio gusto.

Ma perché gli iCosi hanno questo strano comportamento? E come mai ce l’hanno soltanto certi modelli? La spiegazione esatta è per ora ignota, ma è presumibilmente legata a due fatti indiscussi: il primo è che tutti i dispositivi colpiti hanno processori a 64 bit e il secondo è che l’1/1/1970 non è una data a caso ma è il giorno d’inizio della cosiddetta epoca Unix, ossia è la data dalla quale i sistemi operativi basati su Unix (come appunto iOS) iniziano per convenzione a contare il tempo, rappresentandolo come il numero di secondi trascorso da allora (per la precisione dalle 0:00:00 dell’1/1/1970).

In attesa di eventuali chiarimenti da Apple, la teoria prevalente sul problema di data degli iCosi è quindi che le loro versioni a 64 bit sbagliano a gestire i calcoli del tempo quando la data è vicina allo zero dell'epoca Unix. Tom Scott ipotizza che ci sia di mezzo un integer underflow: una sorta di millennium bug legato alla gestione delle date in Unix. Comunque stiano le cose, lasciate stare la data del vostro dispositivo: il tempo è una cosa seria.


Fonti aggiuntive: Gizmodo, Catb.org, Apple, Ars Technica.